SSL部署文檔

服務器證書安裝配置指南（Apache for Linux）

一、生成證書請求文件

*密鑰文件不區(qū)分操作系統(tǒng)平臺，推薦使用CIM客戶端工具。

*下載CIM：

*https://cim.itrus.cn

運行CIM客戶端，點擊工具箱，點擊CSR生成，然后填寫證書注冊信息，點擊生成，然后下拉至底部，點擊保存CSR和私鑰。請確保您填寫的信息真實性和準確性，否則會導致證書申請失敗。

以下是示例信息：

*使用CIM工具創(chuàng)建csr文件之后，將生成的server.csr文件發(fā)送給天威誠信，等待證書的簽發(fā)。請同時備份server.key文件并稍后上傳到服務器上進行配置。

*在您收到證書簽發(fā)郵件之前，請不要刪除壓縮包中的server.keyy文件，以避免私鑰丟失而導致證書無法安裝。

在服務器上直接創(chuàng)建證書請求及密鑰，請參考：

1. 使用Openssl方式創(chuàng)建私鑰

在創(chuàng)建證書請求之前，您需要首先生成服務器證書私鑰文件。

openssl genrsa -out server.key 2048 //運行openssl命令，生成2048位長的私鑰server.key文件。如果您需要對 server.key 添加保護密碼，請使用 -des3 擴展命令。Windows環(huán)境下不支持加密格式私鑰，Linux環(huán)境下使用加密格式私鑰時，每次重啟Apache都需要您輸入該私鑰密碼（例：openssl genrsa -des3 -out server.key 2048）。

2. 生成證書請求（CSR）文件

openssl req -new -key server.key -out server.csr

Country Name： //您所在國家的ISO標準代號，中國為CN

State or Province Name： //您單位所在地省/自治區(qū)/直轄市

Locality Name： //您單位所在地的市/縣/區(qū)

Organization Name： //您單位/機構(gòu)/企業(yè)合法的名稱

Organizational Unit Name： //部門名稱

Common Name： //通用名，例如：www.shiyusi.cn。此項必須與您訪問提供SSL服務的服務器時所應用的域名完全匹配。

Email Address： //您的郵件地址，不必輸入，直接回車跳過

"extra"attributes //以下信息不必輸入，回車跳過直到命令執(zhí)行完畢。

3. 備份私鑰并提交證書請求

請將證書請求文件server.csr提交給天威誠信，并備份保存證書私鑰文件server.key，等待證書的簽發(fā)。服務器證書密鑰對必須配對使用，私鑰文件丟失將導致證書不可用。

注：如SSL證書已簽發(fā)，不需要再次生成CSR，開始安裝證書即可。

二、安裝服務器證書

1. 獲取服務器證書

將證書簽發(fā)郵件中的從BEGIN到 END結(jié)束的服務器證書內(nèi)容（包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”）粘貼到記事本等文本編輯器中，保存為server.crt文件

2. 獲取CA證書

將證書簽發(fā)郵件中的從BEGIN到 END結(jié)束的中級CA證書內(nèi)容部分里的第一段CA證書的內(nèi)容（包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”）粘貼到同一個記事本等文本編輯器中，修改文件擴展名，保存為ca.crt文件。

3. 配置Apache

打開apache安裝目錄下conf目錄中的httpd.conf文件，查到“LoadModule ssl_module”如下：

#LoadModule ssl_module modules/mod_ssl.so

#Include conf/extra/httpd-ssl.conf

刪除行首的配置語句注釋符號“#”

保存退出。

打開apache安裝目錄下conf/extra目錄中的httpd-ssl.conf（或conf目錄中的ssl.conf）文件

在配置文件中的 …… 之間添加或編輯如下配置項：

SSLProtocol all -SSLv2 -SSLv3

SSLHonorCipherOrder on

SSLCipherSuite HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM

#將服務器證書配置到該路徑下